Um novo hack de criptografia foi descoberto hoje: desta vez, o protocolo DeFi Arcadia Finance nas cadeias Ethereum e Optimism foi atacado com sucesso.
PeckShieldAlert deu a notícia no Twitter, relatando que o hack rendeu aos atacantes cerca de $ 455,000.
O hack também foi posteriormente confirmado pelos próprios operadores da Arcadia Finance.
Depois de algumas horas, eles relataram que conseguiram entrar em contato com o hacker e que estavam trabalhando em conjunto com seus parceiros de segurança, policiais e comunidade para resolver o problema da melhor maneira possível, em um esforço para recuperar fundos para usuários do protocolo.
O bug que levou ao hack criptográfico
De acordo com a PeckShield, o hack do contrato inteligente da Arcadia Finance ocorreu devido à exploração de validação de entrada não confiável para drenar fundos das reservas darcWETH e darcUSDC.
darcWETH e darcUSDC são dois tokens Arcadia Finance embrulhados, então cada um deles contém reservas.
Teoricamente, para cada token darcWETH, deve haver um token WETH nas reservas e, para cada token darcUSDC, deve haver um token USDC.
Evidentemente, o contrato inteligente que gerencia as reservas desses dois tokens agrupados tinha um bug que os invasores conseguiram explorar.
Além disso, a PeckShield descobriu uma falta de proteção de reentrada nesses contratos inteligentes, o que permitiu que a liquidação instantânea contornasse a verificação interna do estado do gerente de reservas.
Para ser justo, Arcádia posteriormente refutou essa reconstrução, mas não conseguiu fornecer uma explicação alternativa.
A maior parte dos fundos foi roubada da rede Optimism, e eles foram movidos graças ao Tornado Cash para perdê-los.
O protocolo Arcadia Finance
Arcadia Finance é um protocolo DeFi em Ethereum e Optimism que não possui seu próprio token nativo.
Antes do hack, seu TVL era de cerca de $ 600,000, enquanto depois do roubo caiu para $ 145,000.
Este é um protocolo sem custódia que permite a composição de contas de margem cruzada on-chain.
Os usuários dessas contas de margem podem garantir carteiras inteiras, acessar até 10 vezes mais capital do que o valor inicial da garantia e usar a garantia depositada e o capital emprestado para interagir com qualquer outro protocolo DeFi sem permissão.
Os credores fornecem liquidez aos pools de empréstimos da Arcadia, obtendo retornos passivos.
Por não terem custódia, os hackers não conseguiram roubar fundos diretamente das carteiras dos usuários, mas sim daqueles usados como reservas para a emissão dos tokens embrulhados darcWETH e darcUSDC.
Assim, nenhum darcWETH ou darcUSDC foi roubado diretamente das carteiras dos usuários, mas WETH e USDC foram roubados das carteiras nas quais as reservas eram mantidas. Isso significa que não há mais 1 WETH para cada darcWETH emitido e 1 USDC para cada darcUSDC emitido, portanto, efetivamente, os usuários ainda têm todos os seus tokens agrupados, mas não podem mais resgatá-los.
O problema com tokens encapsulados
Costuma-se dizer que as carteiras sem custódia são seguras, se armazenadas e mantidas adequadamente, mas às vezes os riscos estão a montante.
De fato, para qualquer carteira sem custódia, há pouca diferença em armazenar tokens originais, como USDC, ou tokens encapsulados, como darcUSDC.
No entanto, os tokens encapsulados têm uma camada adicional de risco. De fato, a custódia do colateral não é feita pelos próprios usuários em suas carteiras não custodiadas, mas pelos gestores dos tokens empacotados.
Na verdade, isso não é muito diferente de uma carteira de custódia, já que a custódia da garantia é, de certa forma, equivalente à custódia dos tokens embrulhados.
Portanto, mesmo que as carteiras dos usuários que possuem tokens encapsulados não sejam violadas, no caso de violação das carteiras de reserva, os usuários ainda podem perder seus fundos, simplesmente porque, enquanto ainda tiverem os tokens encapsulados, não poderão mais resgatá-los. Seu valor real dessa maneira efetivamente vai para zero.
Na verdade, isso também se aplica ao USDC, porque, embora não seja um token empacotado, é uma stablecoin colateralizada, o que significa que possui reservas como garantia, mantidas e gerenciadas por uma única entidade (Circle).
O impacto nos mercados de criptografia do hack que ocorreu
O impacto nos mercados criptográficos desse hack foi quase zero, se excluirmos os tokens encapsulados darcWETH e darcUSDC.
O OP, que é o token nativo do Optimism, também não sofreu perdas graves, tanto que seu preço hoje se moveu em linha com o de muitos outros tokens semelhantes.
Então, novamente, $ 455,000 não é muito, e agora os mercados de criptografia desenvolveram o hábito desse tipo de roubo em protocolos DeFi.
Além disso, DeFi não é sobre Bitcoin, e agora é o Bitcoin que está ditando a tendência nos mercados criptográficos.
Situações como esta servem apenas para um melhor entendimento dos riscos envolvidos na utilização de protocolos DeFi, principalmente quando eles estão ocultos como no caso dos wrappers tokens.
Algo muito pior aconteceu em março, quando foi descoberto que a Circle detinha uma parte significativa das reservas do USDC no falido banco Silvergate, tanto que por um momento temeu-se que a stablecoin pudesse perder sua paridade com o dólar.
Mas então o banco central dos EUA interveio diretamente para cobrir todas as deficiências, devolvendo assim todos os seus fundos a todos os depositantes do Silvergate.
Fonte: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/